la frontière entre les États-nations et la cybercriminalité s'estompe, ce qui est une mauvaise nouvelle pour la bannière du CISO

La frontière entre les États-nations et la cybercriminalité s'estompe : c'est une mauvaise nouvelle pour les RSSI

Ces derniers temps, les risques géopolitiques suscitent une inquiétude croissante. Cela est dû en grande partie au chaos qui règne à Washington, même si les tensions mondiales s'intensifient depuis un certain temps. Le dernier Forum économique mondial (FEM) Rapport sur les risques globaux, par exemple, affirme que le risque « le plus susceptible de provoquer une crise matérielle à l’échelle mondiale en 2025 » est un « conflit armé étatique ». Il rejoint « l’insécurité informatique » et « la désinformation » sur la liste des 10 plus grands risques à court terme.

Le cyberespace sera un domaine clé de la rivalité entre les grandes puissances qui marquera les décennies à venir. Pourtant, les risques associés pour les RSSI et leurs organisations sont de plus en plus difficiles à cerner. En effet, la frontière autrefois nette entre l'État-nation et la cybercriminalité commence à s'estomper. Les responsables de la sécurité devront s'appuyer sur les meilleures pratiques du secteur pour naviguer en toute sécurité dans ces eaux inconnues.

Les règles changent

Microsoft et Google Mandiant ont récemment documenté le lien croissant entre les campagnes menées par les États-nations et la cybercriminalité. À bien des égards, ce phénomène n'est pas nouveau. Cependant, les événements récents exacerbent le problème. Notes du rapport Google que « le niveau accru de cyberactivité suite à la guerre de la Russie en Ukraine a montré qu’en période de besoin accru, le vivier de talents latents des cybercriminels peut être payé ou contraint de soutenir les objectifs de l’État ».

Cela comporte plusieurs aspects :

1. Les États-nations utilisent des outils et des services de lutte contre la cybercriminalité standard

Cela présente plusieurs avantages pour les gouvernements. Utiliser des outils de cybercriminalité pré-conçus est moins coûteux que de développer des alternatives personnalisées en interne. Cela permet de masquer la véritable origine ou l'intention des attaques. De plus, ces outils « peuvent être opérationnels rapidement, sans lien immédiat avec des opérations passées », selon Google.

Les groupes soutenus par l'État peuvent acheter ou louer des logiciels malveillants et des exploits, des identifiants, des infrastructures de botnet, des informations volées, des accès initiaux ou d'autres offres facilement accessibles sur le marché souterrain de la cybercriminalité. Par exemple :

  • Microsoft a affirmé dans Décembre 2024, le groupe russe Turla (Secret Blizzard) utilisait le malware bot Amadey lié à une activité de cybercriminalité, afin de cibler des entités militaires ukrainiennes
  • En mai 2024, Google a identifié un groupe iranien, UNC5203, utilisant la porte dérobée RADTHIEF dans une opération ciblant l'industrie de recherche nucléaire israélienne.

Le groupe chinois UNC2286 a utilisé le ransomware STEAMTRAIN et une demande de rançon associée au groupe DarkSide afin de dissimuler ce qui était une campagne de cyberespionnage, selon Google.

2. Cooptation des groupes de cybercriminalité

Les États-nations sollicitent également personnellement l'aide des cybercriminels. Une fois de plus, cela permet de réduire les coûts, de libérer du personnel interne pour se concentrer sur des objectifs plus stratégiques et d'améliorer la plausibilité des dénégations. On peut le constater avec :

  • Groupe du FSB russe Aqua Blizzard qui « a transmis » l'accès à 34 appareils ukrainiens compromis au groupe de cybercriminalité Storm-0593 pour des travaux de post-exploitation, selon Microsoft
  • Le gang de cybercriminels Cigar (RomCom), qui mène des « opérations d'espionnage » contre le gouvernement ukrainien depuis 2022, selon Google
  • i-Soon, une entreprise de cybersécurité du secteur privé chinois, dont les États-Unis récemment sanctionné, et aurait apparemment mené des opérations de piratage informatique pour le compte de Pékin entre 2016 et 23, facturant entre 10,000 75,000 et XNUMX XNUMX dollars par boîte de réception électronique compromise, et aurait également gagné de l'argent en formant les forces de l'ordre du gouvernement.

3. Autoriser les pirates informatiques de l'État à travailler au noir

  • On observe un nombre croissant d'exemples où des groupes prétendument soutenus par l'État sont autorisés à générer des revenus complémentaires. Selon Google, « cela peut permettre à un gouvernement de compenser les coûts directs nécessaires au maintien de groupes dotés de solides capacités ». En voici quelques exemples :
  • Le prolifique groupe de cybermenaces chinois APT41, qui possède une « longue histoire » d'activités à motivation financière, selon Google. Cela inclut des rançongiciels ciblant le secteur des jeux vidéo et même le vol de fonds de secours COVID.
  • Groupe iranien UNC757, qui a été découvert l'année dernière, en collaboration avec les affiliés de ransomware de NoEscape, RansomHouse et ALPHV.

4. Les États-nations se comportent comme des groupes de cybercriminalité

  • Ce cas concerne presque exclusivement la Corée du Nord, qui cible les entreprises financières et cryptographiques pour financer ses programmes nucléaire et balistique. Plus récemment :
  • Les pirates informatiques de l'État nord-coréen ont été blâmés pour le plus grand cyberbraquage de tous les temps, lorsque 1.5 milliard de dollars en cryptomonnaies ont été volés à Bybit.
  • Une tendance croissante de Travailleurs informatiques nord-coréens Des pratiques frauduleuses visant à inciter les entreprises occidentales à les embaucher ont fait leur apparition. Une fois en poste et travaillant à distance, ils renvoient leurs salaires à Pyongyang. Les fraudeurs peuvent également utiliser un accès privilégié pour dérober des informations sensibles et/ou extorquer leurs anciens employeurs une fois leur poste résilié. Cette menace va s'accroître à mesure que l'IA facilite la création de faux profils convaincants.

Ce que les RSSI peuvent faire

Ces tendances placent les RSSI face à de multiples défis.

« Cela rend plus difficile la prédiction du comportement des attaquants et augmente le risque de dommages collatéraux », prévient Casey Ellis, fondateur de Bugcrowd, sur ISMS.online. « Par exemple, une attaque par rançongiciel peut sembler initialement motivée par des raisons financières, mais peut ensuite révéler une intention géopolitique. Les RSSI doivent désormais prendre en compte un éventail plus large d'adversaires, chacun ayant des niveaux de sophistication, des ressources et des objectifs différents. De plus, les groupes de cybercriminels et les équipes offensives gouvernementales ont des positions très différentes quant à ce qu'ils feront ou ne feront pas, ce qui ajoute à l'imprévisibilité globale. »

Sans attribution claire, les RSSI peuvent également être paralysés dans leur réponse, ajoute-t-il,

« Une hygiène de cybersécurité rigoureuse – comme l'identification des actifs, la gestion des vulnérabilités et la planification des interventions en cas d'incident – ​​reste fondamentale. Cependant, comprendre qui vous attaque peut vous permettre d'affiner vos défenses », affirme Ellis.

Par exemple, une menace soutenue par un État peut cibler la propriété intellectuelle, tandis qu'un groupe cybercriminel peut privilégier le profit financier. L'attribution des responsabilités permet également de collaborer avec les forces de l'ordre et les services de renseignement, contribuant ainsi à résoudre des problèmes systémiques tels que les refuges pour les attaquants.

S'ils peuvent comprendre qui les attaque et pourquoi, les RSSI peuvent commencer à élaborer une réponse efficace, explique Heath Renfrow, RSSI de Fenix24, à ISMS.online.

« S'il s'agit de cybercriminels, l'accent doit être mis sur un confinement rapide, une éradication et un renforcement des défenses afin de prévenir les attaques répétées. Mais dans le cas d'acteurs étatiques, les efforts de réponse peuvent nécessiter une surveillance étendue, des tactiques de contre-espionnage et une coordination avec les agences gouvernementales », explique-t-il. « Les menaces hybrides exigent une défense multicouche, combinant le Zero Trust, la veille en temps réel sur les menaces et des stratégies de résilience post-incident. »

Dans le même temps, l'IA et l'automatisation deviendront de plus en plus importantes pour les RSSI à mesure que les menaces évoluent, affirme Chad Cragle, RSSI de Deepwatch.

« La détection des menaces et la réponse automatisée basées sur l'IA aident les équipes de sécurité à s'adapter aux attaques rapides et massives. En fin de compte, les stratégies de sécurité doivent être adaptables et indépendantes des menaces », explique-t-il à ISMS.online.

Alors que la frontière entre cybercriminalité et activités des États-nations s'estompe, les programmes de sécurité rigides et cloisonnés auront du mal à suivre. Les organisations privilégiant la résilience, l'adaptabilité et une défense basée sur le renseignement seront les mieux placées pour atténuer les risques, quel que soit l'auteur de l'attaque.

Les responsables de la sécurité qui suivent des normes comme ISO 27001 auront plus de facilité à adopter ces bonnes pratiques. Et ils auraient raison de le faire. détente apparente Il est peu probable que le conflit entre les États-Unis et la Russie modifie le paysage des menaces à long terme. Il est préférable de se préparer dès maintenant à un avenir plus complexe, plus opaque et plus dangereux.

Auteur

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Afficher tous les articles de Phil Muncaster

Articles Similaires

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !